Cosa significa Compliance?

Il termine Compliance indica la conformità delle attività aziendali a norme, regole, procedure e standard nel rispetto delle disposizioni previste dalle autorità di settore, dal legislatore e dai regolamenti interni, oltre alle regole previste dagli organismi di certificazione.

La compliance è quindi un’attività preventiva che si preoccupa di prevenire il rischio di non conformità dell’attività aziendale, mettendo in atto le opportune soluzioni qualora si riscontrino situazioni di discordanza tra le Norme in vigore e le specifiche realtà operative dell’azienda. Il fine è di evitare di incorrere in sanzioni, perdite finanziarie, controversie legali e danni reputazionali, in conseguenza di violazioni di norme legislative, regolamentari o di autoregolamentazione. Uno dei principali settori di intervento è la COMPLIANCE PRIVACY

Cosa vuol dire essere GDPR Compliant?

Il 25 maggio 2018 è entrato in vigore il GDPR, acronimo di General Data Protection Regulation, il Regolamento Europeo che ha rivoluzionato la gestione, la raccolta e il trattamento dei dati personali dei cittadini dell’Unione Europea e ha innovato le discipline sulla privacy dei paesi membri.

La normativa ha imposto un adeguamento obbligatorio in capo a tutte le aziende che trattano dati personali, ovvero tutte quelle informazioni riguardanti una persona fisica identificata o identificabile. 

Come deve quindi comportarsi un’azienda per essere “compliant”, cioè in regola con le prescrizioni del GDPR?

Il titolare del trattamento dei dati deve adottare quelle misure tecniche e organizzative che siano idonee a garantire che tale attività è stata svolta in conformità al GDPR. L’azienda che voglia essere compliant deve partire da un audit interno che consenta di mappare l’organigramma e l’organizzazione, i ruoli, le procedure e tutta la documentazione che possa coinvolgere il trattamento dei dati. Sintetizzando, un’impresa deve avere ben chiaro quali sono i dati che raccoglie e che tratta. 

Il dato trasferito da un soggetto all’azienda entra nella titolarità di quest’ultima attraverso la comunicazione, per questo le aziende devono tenere un registro dei trattamenti che contenga specifiche informazioni relative al titolare (generalità, dati di contatto, finalità del trattamento, ecc).
Il titolare dei dati deve inoltre rilasciare un’informativa circa l’esistenza del trattamento e le modalità in cui questo viene condotto, le finalità. Questo consente all’interessato di decidere se accettare, controllare o rifiutare il trattamento. È necessario, inoltre che il titolare tenga un registro del “data breach”, vale a dire di tutte le violazioni di sicurezza cui possa conseguire una perdita, una distruzione, una modifica o una divulgazione non autorizzata o ancora l’accesso ai dati. 

In linea generale il GDPR non fornisce un elenco preciso di adempimenti da osservare per ottenere la piena compliance. I titolari del trattamento hanno quindi la piena libertà interpretare le indicazioni generiche fornite dal Regolamento, purché possano dimostrare poi di avere adottato tutte le misure adeguate alla tutela della privacy, in ossequio al principio di accountability. Insomma, il titolare deve semplicemente essere in grado di aver fatto tutto quanto possibile per rispettare le regole del GDPR e nel tutelare i dati trattati. 

I diritti dell’interessato: una tutela piena 

All’interessato che comunica e, di fatto “cede”, i suoi dati all’azienda la normativa europea riconosce una tutela ampia che si manifesta attraverso un diritto all’informazione, cioè deve essere adeguatamente messo al corrente delle modalità e delle finalità del trattamento e attraverso un diritto a esercitare i propri diritti che spaziano dall’accesso, alla rettifica, fino alla cancellazione. 

L’interessato, in parole povere, deve sapere che fine faranno i suoi dati, perché e come verranno trattati, quali livelli di tutela verranno garantiti agli stessi e soprattutto ha il pieno diritto ad accedere a questi dati o a chiederne la modifica e addirittura la cancellazione. 

La compliance come valore aggiunto: il ruolo di Dogma S.p.A.

Un’azienda che sia GDPR compliant viene percepita come affidabile e di qualità ma non tutte le aziende sono spesso in grado di fare fronte a questo aspetto.  Per questo può crearsi un gap tra i grandi gruppi imprenditoriali e le PMI che possono incorrere anche nella difficoltà di trovare persone qualificate per gestire i ruoli legati alla tutela della privacy e al trattamento dei dati. 

Dogma S.p.A. è in grado di fornire un prezioso supporto per le aziende accertando la corretta gestione della privacy dalla fase di raccolta dei dati al trattamento e all’archiviazione e indicando quali modifiche siano eventualmente necessarie per armonizzare la disciplina vigente ai cambiamenti apportati dal Regolamento. L’Agenzia dispone infatti di personale specializzato e altamente formato su questi aspetti e può quindi offrire una consulenza a 360°, affiancando le aziende e intervenendo per garantire la GDPR Compliance.